信息安全管理系统开发安全管理.pdfVIP

第 1 页 信息安全管理 第七章 系统开发安全管理 第 2 页 目 录 Contents Page 01 系统安全需求分析 02 系统安全规划 03 系统选购安全 04 系统开发安全 05 基于SSE-CMM的信息系统开发管理 第七章 第七章 第一节 系统安全需求分析 第 3 页 系统开发 系统开发 安全管理 安全管理 7.1.1 系统分类 （1 ）业务处理系统 ：业务处理系统是支持或替代工作人员完成某种具 体工作业务所使用的系统 （2 ）职能系统 ：职能系统是应用于完成部门职能工作所使用的系统 （3 ）组织系统 ：组织系统是应用于行政管理部门或某一行业领域的信 息管理系统 （4 ）决策支持系统 ：决策支持系统是一个含有知识型和职能化处理程 序的系统，用于支持、辅助用户的决策管理 第七章 第七章 第一节 系统安全需求分析 第 4 页 系统开发 系统开发 安全管理 安全管理 7.1.2 系统面临的安全问题 1、影响系统可靠性的因素 和设计相关的变化程度；系统项目规划的质量；软件中可能出现的错误；软件中可能出现的 错误。 2、系统面临的技术安全问题 网络安全性：防火墙、网络管理和通信安全技术；系统安全性：病毒防范、风险评估、入侵 检测和安全审计；用户安全性：用户分组管理、唯一身份、用户认证；应用程序安全性：访 问控制、用户授权；数据安全性。 3、系统面临的社会安全问题 系统的浪费和失误、计算机犯罪、道德问题。 第七章 第七章 第二节 系统安全规划 第 5 页 系统开发 系统开发 安全管理 安全管理 7.2.1 系统安全规划原则 （1 ）保护最薄弱的环节 ：系统最薄弱部分往往就是最易受攻击影响的部分，所以系统的安全程度与 爱默生 韦尔奇 脆弱的环节密切相关，在进行系统规划时必须重点考虑可能存在的薄弱环节以及对薄弱环节的保护。 （2 ）纵深防御 ：纵深防御的思想是，使用多重防御策略来管理风险，以便在一层防御不够时，另一层 防御将会阻止完全的破坏。 （3 ）故障控制 ：必须通过有效的故障管理，确保及时发现故障、分离故障，找出失效的原因，并在可 能的情况下解决故障，避免因系统故障而导致系统安全问题的产生。 （4 ）最小特权 ：最小特权策略是指只授予主体执行操作所必需的最小访问权限，并且对于该访问权限 只准许使用所需的最少时间。 （5 ）风险分割 ：分隔的基本思想是，如果将系统分成尽可能多的独立单元，那么就可以将对系统可能 造成损害的量降到最低 第七章 第七章 第二节 系统安全规划 第 6 页 系统开发 系统开发 安全管理 安全管理 7.2.2 系统安全设计 系统设计阶段需要进行的安